img1756.scr“层出不穷”的MSN蠕虫

文件名称：img1756.scr

文件大小：41984 bytes

AV命名：Backdoor.Win32.SdBot.aad（卡吧斯基）

中文别名：“赛波”变种aad

加壳方式：无

编写语言：Borland Delphi 6.0 - 7.0

病毒类型：后门

文件MD5：8F8B66E936BA101EFC6E3CB5D1DEC814

文件SHA1：846e96195e07a5ee1ab2ee6e8d000793d91fd331

传播方式：MSN、系统漏洞

行为分析：

1、释放病毒附件：

%Windir%\img1756.zip   42104 字节（文件名可能不一样，是个压缩包`）

%Windir%\svchost.exe   41984 字节（假冒系统文件，注意路径区别）

2、%Windir%\svchost.exe 修改注册表，写入Run启动项，并获得MS数字签字认证！！！

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Microsoft Genuine Logon 键名。REG_SZ子键值为 "svchost.exe "

3、释放P处理a.bat，内容为：

@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat

尝试关闭"Security Center"（安全.中心）、winvnc4（远程控制）服务。

4、连接85.114.143.1**服务器（应该是德国IRC服务器），并监听1863端口（假冒MSN聊天端口）。

（整个过程中防火墙.没有一点反应）

5、以无判断方式尝试启动msnmsgr.exe

路径："C:\Program Files\MSN Messenger\msnmsgr.exe"

6、检测MSN聊天窗口，并随机出现下列对话和img1756.zip压缩包（文件名不固定）：

look @ my cute new puppy :-D

（看我逗人喜爱.的新小狗 :-D）

look @ this picture of me, when I was a kid

（看我小时候的照片）

I just took this picture with my webcam, like it?

（我用摄像头.拍了这张照片，喜欢么？）

check it, i shaved my head

（看看它（照片），我剃了光头 ）（汗``）

what the **, did you see this?

（TMD，你看到了什么？）

hey man, did you take this picture?

（伙计，你是否拍这张相片？）

利用社会工程学，诱使好.友点击激活病毒。

解决方法：

先去找下MSN蠕虫专杀8``看能不能杀，省事```=。=

手工删除：

http://gudugengkekao.ys168.com/下载：

冰刃.zip 2,121KB

sreng2.5.zip 780KB （备用``）

1、关闭一切能见窗口的进程，断开网络。

2、打开，冰刃，设置禁止进线程创建。

3、打开冰刃“进程”管理，有看到C:\Svchost.exe和的结束掉（注意路径！！）

4、利用冰刃“文件”功能，删除：

%Windir%\img1756.zip   42104 字节（文件名可能不一样，是个压缩包`）

%Windir%\svchost.exe   41984 字节（假冒系统文件，注意路径区别）

PS：%Windir%为：C:\Winnt（2000、ME系统） C:\Windows（XP、2003）

5、冰刃“注册表”功能，删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下的

Microsoft Genuine Logon 键（指向svchost.exe的）

找起来可能比较麻烦，也可以用SREng删除该项！

6、设置冰刃，重启并监视，然后升级杀软，全盘扫。

7、强烈建议打上系统所有补丁。。。对于MSN好友发来的压缩包，至少应该向对方确认。

怀疑是病毒的，欢迎发送压缩包至

Lyhan_1988@163.com

加密virus

不懂加密的Q526170722